Beveiligingsbeleid

Kwetsbaarheid melden

Heb je een beveiligingsprobleem gevonden in Fiskr? We stellen het op prijs als je dit verantwoordelijk aan ons meldt via security@fiskr.nl.

Vermeld in je melding: een beschrijving van de kwetsbaarheid, de stappen om het te reproduceren, en het mogelijke impact. We reageren binnen 5 werkdagen.

Wat we vragen

• Maak geen misbruik van de kwetsbaarheid door meer gegevens in te zien dan nodig
• Verwijder alle verkregen gegevens na de melding
• Deel de kwetsbaarheid niet met anderen totdat wij het hebben opgelost
• Voer geen aanvallen uit op de beschikbaarheid van onze dienst (DDoS, spam)

Wat je van ons kunt verwachten

• Bevestiging van ontvangst binnen 5 werkdagen
• Een eerlijke beoordeling van het risico
• We nemen actie op serieuze bevindingen
• We ondernemen geen juridische stappen als je je aan dit beleid houdt

Scope

In scope:

• fiskr.nl en alle subdomeinen
• De Fiskr iOS-app
• De Fiskr API (api.fiskr.nl)

Buiten scope:

• Social engineering aanvallen op medewerkers
• Fysieke aanvallen op onze infrastructuur
• Problemen in externe diensten (Google, Stripe)

Beveiligingsmaatregelen

• Alle verbindingen via HTTPS (TLS 1.2+)
• Wachtwoorden opgeslagen met bcrypt
• CSRF-bescherming op alle formulieren
• Rate limiting op authenticatie-endpoints
• Accountvergrendeling na herhaalde mislukte inlogpogingen
• Content Security Policy (CSP) met per-request nonces
• Gegevens opgeslagen op Nederlandse servers